Aria2

Aria2 任意文件写入漏洞

简介：

Aria2是一个命令行下轻量级、多协议、多来源的下载工具（支持 HTTP/HTTPS、FTP、BitTorrent、Metalink），Aria2 支持许多 curl 和 wget 不支持的协议，例如：BT、磁力链接等等，内建XML-RPC和JSON-RPC接口。在有权限的情况下，我们可以使用RPC接口来操作aria2来下载文件，将文件下载至任意目录，造成一个任意文件写入漏洞。
aria2的rpc默认端口：6800
Aria 提供 RPC Server，通过–enable-rpc参数启动。
通常从百度网盘中下载资源，在桌面上显示的未下载完成资源的后缀就是aria2，想必利用的也是这个工具。

漏洞产生原理：

在未设置任何安全措施的情况下Aria2 RPC Server可以接受任何未知来源的指令请求，并根据rpc请求进行下载任务。aria2的配置文件中也存在诸如–rpc-secret、–rpc-user、–rpc-passwd之类的安全配置，但也可以通过爆破，社工等方式突破。此漏洞除了任意文件写入，还会引发ssrf。

反弹shell：

先在第三方ui接口下进行如下配置：


其中shell的内容就是一般的反弹linux下shell的命令，但是web服务假设在windows下，在一次发生了换行符的问题

接收端出现如上情况，根据以往经验应该是>&重定向时有带上了windows文本转化为linux文本时\r转换成的^M。

可以发现的确是多了一个\r，但是不知道为什么显示的16进制编码的顺序和原文不一样？？？这里查百度也没查出来，以后看到了再来补一下。
在这里我还想找一下cron日志的一些记录，cat /etc/issue得知当前环境为Debian，但是不管怎么找都找不到当前环境下的cron执行日志，所以无法进行查证，想到可能cron日志没开起来，查了百度，但环境下并没有/etc/rsyslog.d/这个目录，也就放弃了。

tip：Ubuntu下的日志文件/var/log/syslog

但是知道了应该是 ^M产生的问题，依然可以在反弹shell命令后加一个#来注释掉 ^M。

反弹shell成功。

reference：
https://www.jianshu.com/p/6adf79d29add
https://paper.seebug.org/120/